L’Union européenne face à la cybermenace

L’Union européenne face à la cybermenace

Mandatory Credit: Photo by Lucian Alecu/Shutterstock (13906331z)
Inauguration of the European Cybersecurity Competence Centre (ECCC) new headquarters in CAMPUS Center building of the Polytechnic University of Bucharest. European Cybersecurity Competence Centre Inauguration, Bucharest, Romania – 09 May 2023/

par Alexis Deprau – Revue Conflits – publié le 19 juin 2024

https://www.revueconflits.com/lunion-europeenne-face-a-la-cybermenace-une-strategie-de-regulation-a-lepreuve-des-souverainetes-nationales/


Attaqués à plusieurs reprises par des cyber attaques, les pays de l’Union européenne ont adapté leur stratégie afin de pouvoir répondre à ces nouvelles menaces.

Avril 2007, une série de cyberattaques visa les sites web d’organisations estoniennes, tels que le Parlement estonien, les banques, les ministères, les journaux et diffuseurs. Cette grave cybermenace influença à n’en pas douter l’Union européenne, pour l’édiction de la directive du 8 décembre 2008 relative au recensement et à la désignation des infrastructures critiques européennes (1). Se limitant néanmoins aux secteurs de l’énergie et des transports, elle n’apporta aucune action concrète. Elle se contenta tout au mieux d’appeler les Etats-membres à identifier les infrastructures critiques concernées et prévoir des mesures de sécurité, sans entrer véritablement dans le détail des mesures nécessaires.

Et ce qui devait arriver arriva, une attaque informatique visa le marché européen du carbone en janvier 2011 : la Commission européenne suspendit les transactions sur cette plateforme permettant d’acheter et de revendre des quotas d’émission de carbone, pour ne redevenir complètement opérationnelle que trois mois plus tard.

Les différentes cybermenaces

Parler de cybermenace est un fait, mais quels sont les types d’attaques répertoriés ? Elles peuvent être variées et répertoriées selon trois modes principaux (2) :

  • la « guerre pour l’information » ou cyberespionnage, visant à pénétrer les réseaux en vue de récupérer les informations qui y circulent ou y sont stockées ;
  • la « guerre contre l’information » ou sabotage, qui s’attaque à l’intégrité de systèmes informatiques pour en perturber ou en interrompre le fonctionnement (avec les attaques par déni de service) ;
  • la propagande de désinformation ou d’action politique (Covid 19, conflit russo-ukrainien, conflit entre Israël et le Hamas).

La déstabilisation par déni de service (ou Denial of Service attack, DOS) consiste plus précisément en l’envoi massif de données pour perturber l’accès aux pages Web, comme en Estonie ou au sein de l’Union européenne en 2011. Le Japon fut de même l’objet de près de 450 millions de cyberattaques visant les Jeux Olympiques et Paralympiques de Tokyo (un nombre d’attaques 2,5 fois plus élevé que lors des Jeux Olympiques de Londres en 2012).

Il ne faut pas oublier non plus la cybercriminalité qui, de l’aveu du général Marc Boget (3), aurait représenté 6 000 à 7 000 milliards de dollars en 2020 à travers le monde, avec une attaque par rançon-logiciel toutes les 11 secondes. Ce coût de la cybercriminalité est dix fois plus élevé qu’en 2018, le Center for Strategic and International Studies (CSIS) et la société McAfee l’ayant évalué cette année-là à 600 milliards de dollars (4).

Malgré l’adoption de nombreux documents ou plans d’action, l’Union européenne ne semblait pas encore avoir pris la mesure de l’importance des enjeux liés à la sécurité des systèmes d’information en 2012. Trois lacunes avaient alors été constatées : un véritable manque de stratégie globale du cyberespace à l’échelle européenne ; une dispersion des acteurs avec une concurrence entre les différentes directions générales pour le pilotage des enjeux de cybersécurité au sein de l’Union ; enfin, un manque d’efficacité.

Il apparaissait dès lors évident en 2012 que, « malgré l’adoption d’un grand nombre de textes, l’action concrète de l’Union européenne dans ce domaine est restée jusqu’à présent relativement limitée », soulignant à cette époque-là une implication encore insuffisante de l’Union européenne en la matière (5).

La question de la législation

Mais était-ce réellement la stratégie de l’Union européenne de légiférer en la matière ? Pour rappel, l’Europe s’est d’abord construite sur une ambition économique. Instaurée comme Communauté européenne du charbon et de l’acier (CECA) devenue Communauté européenne (CE) puis Union européenne (UE), rien ne laissait présager un tel axe de régulation, qui fut certes pris en compte lentement mais progressivement. Ce lien entre le numérique et la Communauté concerna principalement le soutien au Marché unique et la défense du citoyen-consommateur, par exemple avec le règlement « eIDAS » du 23 juillet 2014 (6).

Puis cette protection de l’économie dans le domaine numérique fut étoffée d’instruments juridiques nécessaires à une régulation du cyber dans l’espace économique européen (7), même si le consensus entre Etats membres a été (et reste encore) défaillant. En d’autres termes, cette absence de consensus se traduit malheureusement par une « incapacité durable de l’Union à lutter contre les pratiques prédatrices de certains Etats membres qui profitent de la compétence nationale qui est la leur pour développer des ‘fiscalités accommodantes’ (avantages fiscaux accordés par certains Etats aux GAFAM) » (8).

En tout état de cause, l’ébauche de régulation du cyber par l’Union peut être considérée comme tardive, même si quelques instruments existaient auparavant. Mais au-delà de la pure régulation juridique qui ne doit pas être l’œuvre d’un travail purement descriptif, il n’est pas inintéressant de se demander si cette régulation ainsi évoquée tient lieu de stratégie de la part de l’Union européenne, d’une stratégie voulue et consensuelle, ou si elle n’est pas freinée en raison des potentielles réticences des Etats membres, quitte à ce que le souhait d’une harmonisation dans la régulation de la cybermenace ne laisse pas la place à une « balkanisation » des structures dédiées à la lutte contre les cybermenaces, au détriment d’une coopération efficace.

La cybersécurité : une stratégie de régulation qui a tâtonné

Il fallut attendre 2013 pour que la cybersécurité soit appréhendée comme une priorité stratégique au sein de l’Union européenne. Cette stratégie dénommée « Un cyberespace ouvert, sûr et sécurisé » reposait sur cinq priorités : 1° Parvenir à la cyber-résilience ; 2° Faire reculer la cybercriminalité ; 3° Développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC) ; 4° Développer les ressources industrielles et technologiques en matière de cybersécurité ; 5° Instaurer une politique internationale de l’Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l’Union.

Le point nodal de la stratégie de 2013 consistait à bâtir un lien fort entre le renforcement de la cybersécurité et le développement de ressources industrielles et technologiques propres à ce secteur.

La même année, la directive du 12 août 2013 relative aux attaques contre les systèmes d’information (9) eut quant à elle pour objectif de rapprocher le droit pénal des États membres dans le domaine des cyberattaques en fixant des règles minimales relatives à la définition des infractions pénales et les sanctions applicables, et de renforcer la coopération entre les autorités compétentes. A savoir la police et les services spécialisés chargés de l’application de la loi dans les États membres, ainsi que les agences et organes spécialisés compétents de l’Union (Eurojust, Europol et son Centre européen de lutte contre la cybercriminalité), sans oublier l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA).

Surtout, la directive du 6 juillet 2016 sur la sécurité des réseaux et des systèmes d’information (10) (dite SRI) – ou directive Network and Information System (NIS) – fut la première législation européenne sur la cybersécurité, ayant pour finalité de garantir un niveau de sécurité des réseaux et des systèmes d’information uniformément élevé dans l’ensemble de l’Union, au travers de quatre axes :

  1. le renforcement des capacités nationales, avec l’obligation pour chaque État membre de se doter d’une stratégie nationale de cybersécurité, et la mise en place des « Computer Security Incident Response Team » (CSIRT) pour chaque secteur essentiel de l’économie et de la vie en société (11) ;
  2. l’établissement d’un cadre de coopération volontaire entre les États membres et l’Union, avec la création d’un groupe de coopération (dimension politique de la cybersécurité) et d’un réseau européen des CSIRT (dimension technique) ;
  3. le renforcement pour chaque État membre de la sécurité informatique de ses opérateurs de services essentiels (OSE) ;
  4. l’instauration de règles européennes communes concernant la cybersécurité de trois types de fournisseurs de services numériques (FSE) : acteurs de l’informatique en nuage, moteurs de recherche et places de marché en ligne.

Dans la pratique, le groupe de coopération de la directive SRI, créé pour permettre d’harmoniser la mise en œuvre de la directive, s’avère être un carrefour de coopération très précieux en réunissant les autorités nationales référentes, l’ENISA et la Commission européenne. Ce groupe de coopération a su devenir un forum efficace pour fournir des orientations au réseau des CSIRT européens (réunissant les CSIRT nationaux), et le CERT-EU (organe équivalent de l’Union européenne).

Un bilan mitigé

Pour autant, un premier bilan mitigé de l’application par les États membres de la directive SRI fut rendu dans un rapport de la Commission du 28 octobre 2018 (pour la période de septembre 2018 à novembre 2019). Même si sa mise en œuvre de cette directive fut synonyme de progrès significatifs « elle ne constitue qu’une première étape dans la construction d’une véritable ossature de cybersécurité européenne [et] agit en outre comme le révélateur de faiblesses intrinsèques à certains États membres » (12).

Conformément à sa clause de révision, la directive SRI fut améliorée et substituée par la directive SRI 2 du 14 décembre 2022 (13), promouvant notamment des objectifs de coopération renforcée entre les États membres. Des obligations spécifiques ont par exemple été instituées pour les centres de réponse aux incidents de sécurité informatiques (CSIRT – CERT en France), comme la participation à des réseaux de coopération nationale, ou encore l’obligation d’être un point de contact pour que les entités communiquent sur leurs vulnérabilités.

De plus, un nouveau réseau a été mis en place, en sus du réseau national des CSIRT, du réseau européen et du groupe de coopération. Dénommé réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONE), il a pour tâche : de renforcer le niveau de préparation à la gestion des incidents de cybersécurité majeurs et des crises ; de développer une connaissance situationnelle partagée de ces incidents ; d’évaluer leurs conséquences et de proposer des mesures correctrices ; de coordonner la gestion des incidents et la prise de décision au niveau politique ; enfin, d’examiner le plan de réaction des États membres lorsque ceux-ci en font la demande.

L’ENISA, ou la coopération structurelle renforcée de la cybersécurité

Créée en 2004 (14) et installée à Héraklion (Crète) puis à Bruxelles (15), la European Union Agency for Network and Information Security (ENISA) est une agence de l’Union européenne chargée de la sécurité des réseaux et de l’information qui assiste les pouvoirs publics dans l’identification des enjeux de cybersécurité et propose des solutions techniques pour lutter contre les cybermenaces.

Elle s’est ainsi vue confier des missions diverses, appréhendées en trois domaines : 1° en tant qu’agence d’expertise technique, le conseil et l’assistance de la Commission européenne et des États membres en matière de sécurité des systèmes d’information ; 2° le soutien des Etats membres et des institutions européennes dans le développement de capacités de réponse aux cybermenaces ; 3° la promotion de la coopération entre les Etats membres, notamment par des exercices communs.

Elle publia par exemple des rapports pour le moins pertinents, comprenant des recommandations concrètes, que ce soit sur les systèmes de contrôle industriels et les SCADA (16) ou la cybersécurité maritime, sans oublier, l’exercice européen de crise « Cyber Europe 2010 » dans le cadre du groupe de travail sur les exercices piloté par l’ENISA.

Le rôle de l’ENISA

L’ENISA a vu son mandat renforcé, étant un point de référence pour l’ensemble de l’Union, notamment en aidant activement les États membres et les institutions, organes et organismes de l’Union. La directive SRI du 6 juillet 2016 lui confia d’ailleurs des missions importantes à cet effet : assurer le secrétariat du réseau des CSIRT pour obtenir une coopération rapide et effective au niveau opérationnel entre États membres (en cas d’incidents de cybersécurité spécifiques), et pour échanger des informations sur les risques ; assister le groupe de coopération de la directive SRI, les États membres et la Commission en fournissant expertise et conseils.

Le règlement du 7 juin 2019 relatif à l’ENISA (ou Cybersecurity Act) (17) eut quant à lui pour finalité de regrouper deux objets distincts. En premier lieu, les objectifs, les tâches et le statut de l’ENISA furent redéfinis en prévoyant des dispositions précises sur ses missions, son fonctionnement, sa composition, et son personnel. En second lieu, ce règlement donna un cadre à la mise en place des schémas européens de certification de cybersécurité, pour garantir la cybersécurité des produits de technologies d’information et de communication (TIC), services TIC et processus TIC au sein de l’Union.

Elément essentiel, le règlement a prévu une coopération opérationnelle efficiente au sein de l’Union (article 7). En ce sens, l’ENISA apporte son soutien à la coopération opérationnelle entre les États membres, les institutions européennes et les parties prenantes ; soutient aussi activement le partage d’informations et la coopération entre les membres de ce réseau.

Dans la continuité de cette stratégie de sécurité des réseaux et de l’information, a été instaurée une équipe d’intervention d’urgence a été instaurée afin de protéger les institutions européennes contre les cyberattaques. Comme les autres CSIRT publics et privés, le CERT-UE a vocation à répondre de manière efficace à des incidents de sécurité informatique et aux cybermenaces (24 heures sur 24 et 7 jours sur 7).

Au-delà des missions traditionnelles incombant à tout CSIRT, le CERT-UE est un centre d’intervention d’urgence qui « vise à construire et compléter les capacités existantes des institutions, organes et agences de l’Union et à encourager l’émergence d’une culture de la confiance au sein de cet environnement protégé » (18).

Certes, il faudra convenir que cette coopération sur le plan opérationnel ne constitue pas véritablement un ensemble de missions opérationnelles, mais plutôt une synergie avec les institutions européennes.

De nouvelles dispositions

Cette disposition prévoit également une coopération structurée avec le Centre européen de lutte contre la cybercriminalité (EC3) créé en 2013. Composante d’Europol, il a pour ambition d’apporter une réponse institutionnelle à la forte progression de la cybermenace en renforçant la répression de la cybercriminalité dans l’Union. La coopération est ici observée en rassemblant auprès des pays l’information et l’expertise, en soutenant les enquêtes pénales menées par les États membres, en promouvant des solutions, et enfin en sensibilisant aux enjeux de cybersécurité à l’échelle de l’Union. 

Face aux risques de morcellement national et à la sensibilité des questions de souveraineté que soulève l’enjeu de cybersécurité, le Cybersecurity Act du 7 juin 2019 apporte enfin une pièce majeure à l’édification d’une architecture solide. Consacrant une véritable autonomie stratégique de l’Union pour la cybersécurité, il fait de l’ENISA la pierre angulaire de la cybersécurité européenne. Avec ce règlement, elle est en effet devenue l’Agence de l’Union européenne pour la cybersécurité.

Pour autant et ce qu’il ne faut pas perdre de vue, cette Agence « ne doit, ni ne peut, se substituer aux agences nationales qui sont les premières à devoir assurer les missions de détection, de diagnostic et de réponse aux crises en matière de cybersécurité. […] Elle peut en revanche devenir le point de référence auprès des institutions de l’Union et des États membres, et favoriser l’émergence d’une véritable plateforme de la cybersécurité européenne, susceptible de contribuer à la robustesse des systèmes de défense nationaux en favorisant les collaborations multilatérales » (19).

C’est peut-être aussi la raison pour laquelle des Etats membres ont refusé d’attribuer des pouvoirs d’enquête à l’ENISA, et a fortiori de lui donner un rôle plus opérationnel, craignant que l’ENISA ne se substitue aux capacités opérationnelles des États membres, alors même que ces derniers disposent de capacités techniques et opérationnelles suffisantes.

En France, le Sénat s’est ainsi opposé dans sa résolution du 6 décembre 2017 à ce que l’ENISA dispose de pouvoirs d’enquête, rappelant que cette attribution ne respectait pas le principe de subsidiarité. Il estima que « la coopération européenne dans la cybersécurité devait continuer à se faire sur la base de la participation des États membres et de la transmission volontaire d’informations sensibles, voire relevant de la sécurité nationale » (20).

L’Union européenne en quête d’une coopération effective dans la cyberdéfense

Il aurait pu sembler que l’Union européenne était bien armée pour se défendre contre n’importe quel type d’attaque. L’article 42 § 7 du traité sur l’Union européenne ne prévoit-il pas une clause d’assistance mutuelle, au cas où un État membre serait l’objet d’une agression armée sur son territoire. Les autres États membres lui devraient alors aide et assistance par tous les moyens en leur pouvoir, (conformément à l’article 51 de la charte des Nations unies).

Néanmoins, cette clause d’assistance mutuelle n’a pour le moment été activée qu’une seule fois, quand la France formula une demande d’aide et d’assistance auprès des Etats membres à la suite des attentats du 13 novembre 2015. Légitimement appliquée pour la lutte contre le terrorisme, rien ne semble penser que ce mécanisme puisse en revanche être appliqué pour les cybermenaces, à l’instar d’ailleurs des autres mécanismes internationaux d’assistance mutuelle (articles 51 de la Charte des Nations unies ; article 5 du Traité de l’Atlantique Nord) qui n’ont pas non plus été activés à ce propos. Quoi qu’il en soit, et même si ces propos datent de 2012, « il n’existe aucun consensus entre les vingt-sept Etats membres de l’Union européenne sur la mise en œuvre de la « clause de défense mutuelle » contenue dans le traité de Lisbonne, en cas d’attaque informatique majeure contre un Etat membre » (21). Propos qui ne semblent malheureusement pas encore avoir été l’objet d’une réflexion approfondie.

C’est d’ailleurs dans le cadre de la coopération structurée permanente (CSP) lancée le 11 décembre 2017 entre 25 États membres (22), que deux projets liés à la cyberdéfense virent le jour :

  • celui d’équipes d’intervention rapide en cas d’incident informatiques et assistance mutuelle dans le domaine de la cybersécurité (Cyber Rapid Response Teams and Mutual Assistance in Cyber Security), pour intégrer l’expertise des États membres dans le domaine de la cyberdéfense. Des équipes d’intervention rapide (Cyber Rapid Response Teams – CRRTs) constituées permettent aux États membres de s’entraider et de répondre collectivement aux incidents cyber ; de porter assistance tant aux États membres, qu’aux institutions européennes ou à des pays partenaires.
  • ainsi que la création d’une plateforme de partage d’informations en matière de réaction aux menaces et incidents informatiques (Cyber Threats and Incident Response Information Sharing Platform), dans l’idée de renforcer les capacités de cyberdéfense des États participants en favorisant le partage du renseignement sur les cybermenaces.

Bien que ces deux projets soient ambitieux, des interrogations sont toujours présentes eu égard à leur portée réelle, dans la mesure où « le déploiement des CRRTs notamment se heurtera probablement, de manière concrète, à la réticence de certains États à voir des équipes pour partie composées de non-nationaux intervenir sur leurs réseaux » (23).

Liée encore une fois à la potentielle réticence des Etats, une dernière difficulté tient au fait que les décisions et recommandations du Conseil prises dans le cadre de la coopération structurée permanente le sont à l’unanimité des 25 États membres participants, ce qui pourrait singulièrement compliquer la mise en œuvre de celle-ci… N’oublions pas malheureusement la difficulté qu’ont les Etats membres à poursuivre des ambitions communes et faire consensus, comme le prouvent de nombreux exemples (Brexit, Europe de la défense, ou position de certains États dans le cadre du conflit russo-ukrainien).

Conclusion

Il était déjà fait état de la lenteur de la mise en place du dispositif de lutte contre les cybermenaces dans le Livre blanc sur la défense et la sécurité nationale de 2013. Se posait alors la question de savoir comment conjuguer une telle action d’urgence avec une stratégie politique de plus long terme visant à asseoir l’autorité d’un État, seul garant légitime et durable de la protection des populations. Si les rédacteurs du Livre blanc dressèrent un constat sans appel, il semblait difficile que ce constat soit toujours valable dix années plus tard. Effectivement, « la réponse à ces questions émerge trop lentement dans les crises où ces principes sont testés. Le consensus international qui pourrait accompagner et canaliser les évolutions nécessaires reste insuffisant, alors que des situations inédites transforment rapidement le paysage stratégique » (24).

Un consensus difficile en somme, d’autant plus quand l’on connait les potentielles capacités techniques de certains Etats membres, à l’image de la France qui dispose de divers services ayant  pour partie ou totalement la cyberdéfense comme domaine de compétence : Agence nationale de la sécurité des systèmes d’information (ANSSI) ; Commandement de la cyberdéfense (COMCYBER) ; Direction générale de la sécurité extérieure (DGSE) ; Direction du renseignement et de la sécurité de la défense (DRSD) ; Direction du renseignement militaire (DRM) ; Direction générale de la sécurité intérieure (DGSI) ; Direction nationale du renseignement et des enquêtes douanières (DNRED) ; Tracfin ; Office anticybercriminalité (OFAC) ; ou encore Commandement de la Gendarmerie dans le cyberespace (COMCyberGEND).

En tout état de cause, la coopération renforcée entre Etat est plus que bienvenue. Une action efficace dans la lutte contre les cybermenaces étant intrinsèquement liée à la décision politique de chaque Etat membre pour y faire face.

Finalement, et sans être grand clerc en la matière, « la solution au problème de l’expansion digitale ne se trouve pas dans un surcroît de digitalisation mais dans la recherche d’un arbitrage en surplomb, c’est-à-dire dans la réintroduction de la politique, d’une force organisée et d’institutions » (25).


1. Dir. 2008/114/CE du Conseil du 8 déc. 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.2. Cette distinction a été faite par Roger ROMANI, in Rapport d’information sur la cyberdéfense, Sénat, n°449, 8 juill. 2008, p. 12

3. Directeur de la stratégie numérique et technologique de la Gendarmerie Nationale.

4. Éric BOTHOREL, Rapport d’information sur l’avenir de la cybersécurité européenne, Assemblée nationale, n°2415, 14 nov. 2019, p. 13.

5. Jean-Marie BOCKEL, Rapport d’information sur la cyberdéfense, Sénat, n°681, 18 juillet 2012, p. 62.

6. Règ. (UE) (UE) n°910/2014 du Parlement et du Conseil du 23 juill. 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

7. Pour exemple : Règ. d’exécution (UE) 2018/151 de la Commission du 30 janv. 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.

8. Didier DANET, Conflits, hors-série, juin-juill. 2022, p. 47.

9. Dir. 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil

10. Dir. (UE) 2016/1148 du Parlement européen et du Conseil du 6 juill. 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

11. Équipe d’intervention en cas d’incident informatique. Le terme est privilégié en Europe car le terme de « Computer Emergency Response Team » (CERT) provient des États-Unis.

12. Éric BOTHOREL, op. cit., 14 nov. 2019, p. 34.

13. Dir. (UE) 2022/2555 du Parlement européen et du Conseil du 14 déc. 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la dir. (UE) 2018/1972, et abrogeant la dir. (UE) 2016/1148 (directive SRI 2)

14. Règ. (CE) n°460/2004 du 10 mars 2004

15. Si l’ENISA s’était vu confier un nouveau mandat en 2013 (Règ. (UE) n°526/2013 du 21 mai 2013) pour une période de sept ans, jusqu’en 2020, la Commission a ensuite adopté la décision relative à l’établissement du bureau de l’Agence de l’Union européenne pour la cybersécurité (ENISA) à Bruxelles.

16. Supervisory Control and Data Acquisition ou Système de contrôle et d’acquisition de données.

17. Règ. (UE) 2019/881 du Parlement et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications et abrogeant le règlement (UE) n°526/2013.

18. Éric BOTHOREL, op. cit., 14 nov. 2019, p. 24.

19. Ibid., p. 39.

20. Résolution européenne portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement relatif à l’ENISA, Sénat, n°25.

21. Jean-Marie BOCKEL, op. cit., 18 juill. 2012, p. 64.

22. TUE, art. 46.

23. Bastien LACHAUD et Alexandra VALETTA-ARDISSON, Rapport d’information sur la cyberdéfense, Assemblée nationale, n°1141, 4 juill. 2018, p. 27.

24. Livre blanc sur la défense et la sécurité nationale, La documentation française, Paris, 2013, p. 32.

25. Antoine GARAPON et Jean LASSÈGUE, Justice digitale, Presses universitaires de France, Paris, 2018, p. 334.

Les risques de l’IA. Enjeux discursifs d’une technologie stratégique Etudes de l’Ifri, juin 2024

Les risques de l’IA. Enjeux discursifs d’une technologie stratégique Etudes de l’Ifri, juin 2024

par Benjamin Pajot – IFRI – publié le 14 juin 2024

https://www.ifri.org/fr/publications/etudes-de-lifri/risques-de-lia-enjeux-discursifs-dune-technologie-strategique


L’année 2023 aura été marquée par une ruée vers l’intelligence artificielle (IA) générative à tous niveaux – en particulier financier, médiatique et donc politique –, positionnant celle-ci au centre des discussions internationales comme peu de technologies auparavant.

Si la vague d’innovations en cours justifie l’intérêt sans cesse renouvelé pour ce vaste amalgame de techniques, l’engouement et l’effroi qu’il suscite se fondent notamment sur des récits qu’il faut pouvoir décrypter. Ces récits tracent des horizons plus ou moins souhaitables selon les contextes. Entre quête d’une science sans limites, mythe de la singularité et risques d’extinction humaine, course à la puissance et peur du déclassement, nombreux sont les narratifs qui orientent aussi bien le développement de ces technologies que leur régulation balbutiante. Mettant aux prises une pluralité d’acteurs (leaders technologiques, États, organisations internationales, groupes de pression, organisations non gouvernementales, etc.), ils prennent le risque de faire naître des attentes disproportionnées et traduisent les profonds clivages de nos sociétés.

Cette étude se propose donc de retracer les principaux débats entourant l’IA aujourd’hui et d’en dégager les grandes lignes de force, afin d’identifier ce qui se joue derrière les discours et positionnements des uns et des autres. Les stratégies déployées sont multiples, allant de l’agitation de la menace géopolitique pour encourager les investissements au détournement de l’attention des régulateurs vers des risques à long terme, en passant par la condamnation ou la promotion de l’IA open source face à la concentration du marché. Il s’agit également d’analyser les risques communément associés au déploiement de ces technologies, qui sont au fondement des récits et des perceptions collectives. Ces risques menacent l’intégrité démocratique, l’environnement, la conduite de la guerre et la cybersécurité.

Cette étude suggère enfin que la bataille de la gouvernance à venir est déjà et continuera d’être profondément orientée par le rôle prescriptif de narratifs permettant de contrôler pour partie les débats politiques. Les États, tiraillés entre ces récits et leurs propres ambitions technologiques, rivalisent d’initiatives mais peinent à faire converger leurs visions. Dès lors, le risque serait de voir cette gouvernance internationale de l’IA réduite à une pure injonction collective et remise sans cesse au lendemain. La politique de sommets d’ampleur mondiale initiée notamment par le Royaume-Uni semble vouloir apporter un début de réponse, dont l’avenir permettra de déterminer si elle sera suivie d’effets.

Télécharger ou lire : Les risques de l’IA. Enjeux discursifs d’une technologie stratégique : Les risques de l’IA. Enjeux discursifs d’une technologie stratégique Etudes de l’Ifri

Renseignement : Le français Preligens dévoile une nouvelle solution d’IA pour l’imagerie satellitaire radar

Renseignement : Le français Preligens dévoile une nouvelle solution d’IA pour l’imagerie satellitaire radar

https://www.opex360.com/2024/05/07/renseignement-le-francais-preligens-devoile-une-nouvelle-solution-dia-pour-limagerie-satellitaire-radar/


En 2022, la Direction générale de l’armement [DGA] notifia à Preligens un contrat-cadre d’une valeur maximale de 240 millions d’euros sur sept ans, au titre du programme TORNADE [Traitement Optique et Radar par Neurones Artificiels via Détecteur], mené au profit de la DRM ainsi qu’à celui d’autres unités « tournées vers les opérations », comme le Commandement des opérations spéciales [COS] et le Commandement de la cyberdéfense [COMCYBER].

On aurait pu penser que l’avenir financier de l’entreprise allait être assuré. Seulement, selon le quotidien Les Échos [édition du 18 mars], le ministère des Armées n’a pas reconduit deux « contrats clés » dans l’imagerie radar et optique, « faute de moyens ou d’intérêt d’emploi ». Or, ils représentaient près de la moitié du chiffre d’affaires de Preligens. Afin de disposer des moyens nécessaires à son développement [et à sa pérennité], cette « pépite technologique » s’est mise en quête d’un repreneur, qui pourrait être Safran [Thales s’est mis en retrait et il est exclu de recourir à un investisseur non européen].

En attendant, Preligens continue à élargir sa gamme de solutions afin de trouver de nouveaux clients. Ainsi, ce 7 mai, l’entreprise a annoncé le lancement de « nouveaux détecteurs d’intelligence artificielle optimisés pour détecter et classer tout objet d’intérêt militaire sur imagerie satellite SAR [Synthetic Aperture Radar] ».

Et d’ajouter : « Ces détecteurs innovants combinent le savoir-faire de pointe de Preligens en matière d’analyse d’images optiques à de nouvelles capacités d’analyse SAR. Est ainsi redéfini l’état de l’art du traitement multispectral par IA pour la communauté de la défense et du renseignement ».

Combinée aux satellites de reconnaissance optique, comme ceux de la constellation française CSO, cette capacité permettra d’assurer une couverture permanente des sites intéressant le renseignement militaire, les engins en orbite dotés d’un radar à synthèse d’ouverture [RSO] collectant des données quelles que soient les conditions météorologiques.

« Nos clients, qui apprécient déjà les performances de nos détecteurs en opération, ont exprimé le besoin de capacités complémentaires de surveillance par toutes conditions météorologiques 24h sur 24, qu’offre l’imagerie SAR. Nous savons que les images optiques sont plus intuitives, elles sont aussi utilisées comme référence par les analystes, nous avons donc décidé d’aborder l’analyse SAR en combinant, de manière innovante, les informations contenues dans les images optiques et de SAR », a expliqué Jean-Yves Courtois, le PDG de Preligens.

« Cette annonce souligne notre volonté de repousser les limites de l’innovation dans le domaine de l’intelligence artificielle géospatiale et notre engagement à offrir à nos clients les solutions les plus performantes qui correspondent à leurs besoins », a-t-il ajouté.

Pour mettre au point cette nouvelle solution, Preligens a noué un partenariat avec la société Capella, ce qui lui a permis d’accéder à un important volume d’images SAR de haute qualité. Cela lui ainsi permis de développer un « détecteur d’aéronefs » ayant « déjà démontré d’excellentes performances », a-t-elle indiqué. « D’ici la fin de l’année, sera également engagé le développement d’un détecteur de navires », a-t-elle précisé.

Justement, dans le domaine naval, plus précisément dans celui de la guerre sous-marine, Preligens a d’autres projets en cours, comme celui consistant à analyser les signaux acoustiques grâce à l’IA.

Au moment de la création de l’Agence ministérielle de l’intelligence artificielle de Défense [AMIAD], le ministre des Armées, Sébastien Lecornu, avait évoqué des « premiers essais en matière d’IA appliquée à l’acoustique sous-marine […] bouleversants ».

Atos : l’État fait une offre pour racheter les activités souveraines du groupe

Atos : l’État fait une offre pour racheter les activités souveraines du groupe

Bruno Le Maire a annoncé avoir fait une offre ce week-end à Atos, pour racheter ses activités souveraines. Le groupe, en difficulté financière, est le concepteur de supercalculateurs français.

© Bloomberg – Bruno Le Maire, le ministre de l’Économie et des Finances.


L’État vole au secours d’Atos. Bruno Le Maire a déclaré sur LCI avoir «déposé ce week-end une lettre d’intention en vue d’acquérir toutes les activités souveraines d’Atos». Le géant informatique français doit faire face à des difficultés financières et cette opération permettrait que certaines activités stratégiques «ne passent dans les mains d’acteurs étrangers», a souligné le ministre de l’Économie et des Finances, interrogé par Darius Rochebin.

En effet, Atos est relié par de multiples contrats avec l’armée française et a réalisé des supercalculateurs fondamentaux pour maintenir la dissuasion nucléaire. La lettre d’intention formulée par l’État concerne ces supercalculateurs, mais aussi des serveurs utilisés pour le développement de l’intelligence artificielle et des produits de cybersécurité. Le groupe emploie aujourd’hui 4 000 salariés, dont la majorité travaille en France et génère près de 11 milliards d’euros de chiffre d’affaires par an.

Bruno Le Maire espère que d’autres entreprises se rallieront à l’action de l’État

Parce que le sauvetage d’Atos est une priorité pour l’exécutif, l’État s’est déjà engagé à prêter 50 millions d’euros au groupe. L’objectif : stabiliser ses finances pour qu’il puisse continuer d’opérer. Grâce à cette enveloppe, l’État peut déjà mettre son veto sur des décisions prises concernant Bull, la filiale en charge de la construction des supercalculateurs.

Bruno Le Maire espère que l’État ne sera «pas seul» à proposer son soutien au géant informatique. Il souhaite que d’autres entreprises du domaine de la défense ou de l’aéronautique, puissent se joindre à l’action de l’Agence des participations de l’État, qui intervient sous les ordres du ministre.

Rapport d’information sur les défis de la cyberdéfense (Assemblée nationale, 17 janvier 2024).

Rapport d’information sur les défis de la cyberdéfense (Assemblée nationale, 17 janvier 2024).

par Theatrum Belli – publié le

Theatrum Belli

Theatrum Belli https://theatrum-belli.com/

Le ministère des Armées veut disposer de deux prototypes d’ordinateurs quantiques d’ici 2032

Le ministère des Armées veut disposer de deux prototypes d’ordinateurs quantiques d’ici 2032

https://www.opex360.com/2024/03/07/le-ministere-des-armees-veut-disposer-de-deux-prototypes-dordinateurs-quantiques-dici-2032/


Pour résumer, la physique quantique ne différencie par le corpuscule de l’onde. On parle alors d’une « onde-corpuscule » laquelle peut se trouver simultanément dans des états différents. Et les états de deux particules peuvent être corrélés sans qu’aucun signal ne soit échangé entre elles.

De telles propriétés sont de nature à ouvrir de nouvelles perspectives, notamment dans le domaine de l’informatique, l’unité de base d’une information [le bit] pouvant prendre les valeurs 0 et 1 en même temps [on parle alors de qbit]. Mais cela suppose pallier le « phénomène de décohérence », c’est à dire la perte des effets quantiques au moment de passer à l’échelle macroscopique.

Étant donné le potentiel qu’elle est susceptible d’offrir, la technologie quantique ne peut qu’intéresser le ministère des Armées. La Loi de programmation militaire [LPM] 2024-30 en fait d’ailleurs une priorité. Celle-ci précise que, en 2025, le gouvernement devra remettre au Parlement un rapport sur les « utilisations possibles de la technologie quantique dans les armées françaises ».

Mais des programmes ont d’ores et déjà été lancés. Ainsi, en septembre 2020, la Direction générale de l’armement [DGA] a notifié un marché de 13 millions d’euros à l’Office national d’études et de recherches aérospatiales [ONERA] pour se procurer des « Gravimètres Interférométriques de Recherche à Atomes Froids Embarquables » [GIRAFE].

Destinés au Service hydrographique et océanographique de la Marine nationale [SHOM], ces gravimètres quantiques permettront de « mesurer avec une grande précision l’accélération de la pesanteur et d’évaluer ainsi les variations de masses sous la surface du sol ». À l’époque, la DGA avait souligné qu’il s’agissait de « la première application pratique d’un système de mesure utilisant les propriétés quantiques d’atomes de Rubidium piégés et refroidis par laser ».

Par ailleurs, le Fonds innovation de défense, piloté par Bpifrance pour le compte du ministère des Armées, a effectué ses premières opérations au profit des entreprises Pasqal [processeurs quantiques] et Quandela [photonique quantique]. En outre, la DGA a apporté son soutien à d’autres PME positionnées sur ce créneau, dont Muquans et Syrlinks, et financé une vingtaine de thèses sur la théorie quantique.

Un autre application dans laquelle le ministère des Armées place beaucoup d’espoirs concerne le calcul quantique, lequel permettrait de traiter très rapidement des milliards de données, que ce soit pour la dissuasion, le renseignement, la simulation ou encore la conception de nouveaux systèmes d’armes.

D’où le programme Proqcima, lancé officiellement par la DGA à l’occasion de la Journée nationale du quantique, organisée à la Bibliothèque Nationale de France, le 6 mars. L’objectif est de « disposer de deux prototypes d’ordinateurs quantiques universels de conception française à horizon 2032 », précise le ministère des Armées, via un communiqué.

Pour cela, des accords-cadres ont été notifié par la DGA à cinq entreprises spécistes des technologies quantiques, dont Pasqal, Alice&Bob, C12, Quandela et Quobly. « Ils posent les bases d’un partenariat innovant entre l’État et de jeunes sociétés issues de la recherche française » et « doivent permettre le développement des technologies les plus prometteuses depuis des prototypes de laboratoire jusqu’à des solutions de calcul quantique à large échelle [LSQ, pour Large Scale Quantum] utilisables pour les besoins de la Défense », explique-t-il.

Lancé en partenariat avec le Secrétariat général pour l’investissement [SGPI] et piloté par l’Agence du numérique de défense [AND, rattachée à la DGA], ce projet bénéficie d’un financement maximum de 500 millions d’euros.

Les cinq entreprises retenues au titre du programme PROQCIMA ont leurs propres atouts pour relever ce défi. Mais reste à voir lesquelles parviendront à « lever les différents verrous d’ingénierie, de fabrication et d’industrialisation », avance le ministère des Armées.

Aussi, ce programme se déroulera en trois étapes : preuve de concept, maturation puis industrialisation. En 2028, seuls les trois projets les plus performants seront sélectionnés pour la suite. Puis « la compétition se limitera aux deux technologies les plus performantes qui continueront le programme pour passer de prototypes de calculateurs [objectif : 128 qubit logiques] à des produits industriels utilisables par leurs premiers clients [objectif : 2048 qubit logiques] », conclut le ministère.

Vers une révolution grâce à la Super-conductivité à température ambiante

Vers une révolution grâce à la Super-conductivité à température ambiante

par François Jolain – Revue Conflits – publié le 28 février 2024

https://www.revueconflits.com/vers-une-revolution-grace-a-la-super-conductivite-a-temperature-ambiante/


Transport, Énergie, Informatique, Plasma, Médecine, tous les verrous vont sauter. Quelle serait la prochaine découverte d’envergure comme le pétrole ou la semi-conductivité du silicium ? Il se pourrait bien que ce soit la super-conductivité à température ambiante. Tour à tour les verrous sur les forts courants, les champs magnétiques et les plasmas vont sauter.

Une conduction électrique parfaite

La conductivité est la capacité d’un matériau à résister au courant. Les matériaux conducteurs comme l’or ou le cuivre laissent facilement passer le courant. Alors que les matériaux isolants comme le caoutchouc bloquent le courant.

Toute l’électronique tient sur les matériaux semi-conducteurs, comme le silicium. Leur résistant est pilotable en jouant sur leur propriété.

Aujourd’hui, nous allons voir, les super-conducteurs, des matériaux sans la moindre résistance au courant. Ces matériaux existent déjà comme le niobium-titane, mais cette propriété intervient uniquement à la température de -263°C (pour le niobium-titane).

Quelle implication dans nos vies permettra un super-conducteur à température ambiante.

Courant sans limites

Premièrement un matériau sans perte de courant permet un phénomène spectaculaire appelé la lévitation magnétique. Un train est en construction au Japon (SCMaglev) pour remplacer les trains magnétiques par bobine, mais encore une fois, il faut refroidir le matériau. Un super-conducteur à température ambiante permettra de généraliser ces nouveaux trains.

Un autre phénomène spectaculaire de la superconduction est l’apparition d’effets quantiques à notre échelle telle la jonction Josephson, alors que les effets quantiques sont plutôt réservés à l’échelle de l’atome. La généralisation des matériaux super-conducteurs généralisera aussi les ordinateurs quantiques.

Même de bons conducteurs comme l’or ou le cuivre ont des pertes, ces pertes engendrent de la chaleur par effet Joule. Dès lors que le courant devient trop fort, le métal fond. Ce phénomène est utilisé dans l’industrie pour usiner (EDM ou forge par induction). Cependant, il s’agit bien souvent d’une contrainte qui impose une limite de courant capable de transiter dans un câble.

Avec un câble super-conducteur, l’électricité de tout Paris pourrait passer dans un seul câble électrique !

Le courant peut circuler indéfiniment dans une boucle superconductrice, on peut donc s’en servir pour stocker de l’électricité (SMES). Mais encore une fois, ce réservoir à électron nécessite des températures extrêmes, ce qui le rend trop coûteux pour une utilisation grand public.

Forts champs magnétiques

En déverrouillant la limite du courant dans un câble, on déverrouille également les champs magnétiques à haute énergie.

Ces champs vont permettre d’accroître la précision des scanners médicaux IRM, leurs résolutions sont corrélées à la puissance du champ magnétique produit.

L’armée pourrait s’intéresser au canon de gauss dans lequel un projectile est catapulté par un champ magnétique.

Le monde du plasma

Enfin, le champ magnétique permet la manipulation du plasma. Le plasma est le quatrième état de la matière, il se produit à haute température quand les électrons se détachent des atomes et circulent librement dans le gaz. Le gaz devient sensible aux champs magnétiques.

Un champ magnétique permet de manipuler un plasma aussi bien en le cloisonnant dans un volume donné, en le mettant en mouvement ou en faisant varier sa température.

Les superconducteurs à température ambiante vont donc faire avancer tous les domaines autour du plasma comme le laser, la fusion nucléaire ou la recherche fondamentale.

Conclusion

On voit maintenant que le super-conducteur à température ambiante est un verrou technologique. Il permet de faire circuler des courants sans perte et donc sans limite dans un matériau. Cela ouvre les portes des champs magnétiques haute énergie et avec eux le monde des plasmas.

À chacun de ses étages se trouvent des progrès stratégiques pour l’humanité.

Démantèlement du groupe de cybercriminels Lockbit

Démantèlement du groupe de cybercriminels Lockbit

Grâce à des efforts concertés menés par les autorités françaises et européennes, le groupe de cybercriminels Lockbit, à la tête d’un réseau de ransomware d’envergure mondiale, a été sérieusement démantelé.

Illustration.

Illustration. (Photo: LP/L’Essor)


Rédaction de l’Essor – publié le 22 février 2024

https://lessor.org/operationnel/demantelement-du-groupe-de-cybercriminels-lockbit


Depuis son apparition à la fin de l’année 2019, le groupe de cybercriminels Lockbit était devenu synonyme de menace majeure dans le monde de la cybercriminalité. Leur modèle de “ransomware as a service”, permettant à des groupes d’attaquants d’accéder à leurs logiciels malveillants, a entraîné des milliards d’euros de dégâts à l’échelle mondiale, touchant plus de 2.500 victimes, dont plus de 200 en France.

Baptisée “Cronos” et initiée par les autorités françaises en collaboration avec plusieurs pays partenaires (dont le Royaume-Uni, les États-Unis, l’Allemagne, les Pays-Bas, la Suisse, le Japon, l’Australie, le Canada et la Suède), une opération de démantèlement a été menée durant la semaine du 19 février 2024. Coordonnée au niveau européen par Europol et Eurojust, cette opération a été le fruit d’une coopération durable et de plusieurs réunions de coordination entre les agences de sécurité.

Les efforts conjoints ont permis de prendre le contrôle d’une partie significative de l’infrastructure de Lockbit, y compris sur le darknet, et de saisir de nombreux serveurs utilisés par le groupe criminel, notamment en Allemagne et aux Pays-Bas. En outre, plus de 200 comptes de crypto-monnaie liés à l’organisation criminelle ont été gelés.

En France, l’enquête, ouverte en 2020 par la section de lutte contre la cybercriminalité du parquet de Paris, a été menée par les gendarmes de l’Unité nationale cyber (UNC) – C3N. Les investigations ont abouti à des interpellations en Pologne et en Ukraine, ainsi qu’à des perquisitions. Ces actions sont intervenues dans le cadre d’une instruction judiciaire visant des chefs d’extorsion en bande organisée, d’association de malfaiteurs, et d’autres délits liés à la cybercriminalité.

Un portail créé pour que les victimes récupèrent leurs données

L’implication d’Europol a été cruciale dans la coordination de cette opération d’envergure internationale. Le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol a joué un rôle central dans le partage d’informations et l’organisation des activités opérationnelles. Les experts d’Europol ont été déployés sur le terrain pour soutenir les forces de l’ordre et faciliter les échanges d’informations entre les pays participants.

Au-delà du démantèlement de l’infrastructure de Lockbit, cette opération a également permis de fournir des outils de décryptage pour récupérer les fichiers cryptés par le ransomware, disponibles gratuitement sur le portail “No More Ransom” en 37 langues.

Le « soldat augmenté » de l’Armée française, entre réalité et fantasmes

Le « soldat augmenté » de l’Armée française, entre réalité et fantasmes

« Chaque militaire possède un libre arbitre, qu’il doit préserver. Personne ne reste soldat toute sa vie, nous ne sommes ni des cobayes ni des pions au service de l’État. » Ces mots sont ceux de Roland, 34 ans, ancien membre des Forces spéciales (FS), l’une des unités d’élites de l’Armée française les plus exigeantes qui effectue principalement des opérations militaires à extérieur de la France (OPEX). Pendant onze ans, Roland effectue des missions autour du monde, officielles et officieuses, pour l’État français. Du Sahel (Mali, Niger, Burkina-Faso) au Levant (Irak), où il combat dans le cadre de la guerre contre l’État islamique (EI), il a vécu les évolutions des outils technologiques livrés aux soldats. 

Depuis plusieurs années, face à l’apparition des nouvelles technologies, l’Armée française développe ses compétences pour augmenter les capacités physiques, psychologiques et cognitives des militaires. Le terme « soldat augmenté » définit les augmentations liées au corps et à l’esprit dans le but de renforcer son efficacité opérationnelle. De manière courte ou prolongée, l’intérêt est d’augmenter toutes les facultés du militaire, afin d’être plus fort que l’ennemi.

Dans l’ombre, pour le ministère des Armées, chercheurs et ingénieurs planchent sur le sujet, pour développer les performances humaines du soldat, jugé trop humain, donc fragile aux yeux des états-majors. L’homme est, paradoxalement, le maillon faible du champ de bataille. Mi-hommes, mi-robots, le corps de ces soldats est parfois modifié pour en faire des armes de guerre high-tech. Des techniques mécaniques sont déjà utilisées telles que des robots d’assistance, des lunettes à vision nocturnes et même des exosquelettes, qui permettent de courir plus vite sur le terrain et de soulever des charges lourdes. Des substances stimulantes sont aussi employées comme des capsules aux amphétamines et des comprimés à la caféine à effet prolongé, pour lutter contre le stress, la faim et la fatigue. 

Source : Wikimedia/CC/Domenjod
Source : Wikimedia/CC/Domenjod

De l’intérêt de l’exosquelette

De prime abord, les apports des nouvelles technologies sur le corps du soldat comportent de nombreux bénéfices. « J’ai déjà pris des cachets à la caféine, c’est assez puissant et ça permet de lutter contre la fatigue sur plusieurs jours », confie Roland, qui a été déployé en Irak après les attentats de 2015 en France. Sur le terrain, au Levant, il combat avec son équipe les djihadistes de l’EI, dans une cadence infernale. Dans certaines armées étrangères, des interventions chirurgicales des oreilles et des yeux pour amplifier les aptitudes des soldats ont déjà eu lieu, pas encore en France. «Il faut rappeler qu’au sein des forces spéciales, nous sommes sélectionnés pour nos aptitudes physiques, qui comprennent également une excellente vision et une audition parfaite », détaille l’ancien soldat du 1er RPIMa. En service, il entend parler du développement des exosquelettes pour l’Armée de terre, sans avoir pu le tester sur le terrain. Lorsqu’il quitte les forces spéciales, le projet n’était pas encore finalisé. 

« Il y a un intérêt certain à utiliser l’exosquelette. Nous avons un métier usant, certains collègues ont des problèmes de genoux et de dos à force de porter des équipements de plusieurs dizaines de kilos, c’est très traumatisant pour le corps. L’exosquelette permet de se soulager, en augmentant nos forces à l’aide de tiges et de rotules automatisées. » Toutes ces avancées technologiques sont fièrement exposées lors de chaque salon militaire « Innovation Défense », qui se tient chaque année Porte de Versailles à Paris. « C’est très intéressant, mais ça a un prix, tout cela coût très cher et l’Armée française n’a pas des moyens illimités », précise Yannick, 29 ans, ancien soldat formé au 35e régiment d’infanterie de Belfort (Bourgogne-France-Comté).

« Avant de développer de l’IA et des outils high-tech pour nous, ils devraient d’abord bien nous approvisionner correctement en munitions »

Tireur de précision, Yannick considère qu’il est impossible pour l’Armée française de développer pleinement le « soldat augmenté », compte tenu des finances attribuées aux troupes. « J’ai été confronté concrètement aux coupures économiques. Avant de développer de l’IA et des outils high-tech pour nous, ils devraient d’abord bien nous approvisionner correctement en munitions. Je ne vois pas comment c’est possible de rivaliser avec d’autres puissances étrangères, étant donné notre budget », dépeint-il agacé.  

Des exosquelettes sont aussi utilisés dans le privé, comme chez Enedis pour les travaux qui mobilisent le haut du corps ici // Source : Wikimedia/CC/ACEFJKRS
Des exosquelettes sont aussi utilisés dans le privé, comme chez Enedis pour les travaux qui mobilisent le haut du corps ici // Source : Wikimedia/CC/ACEFJKRS

L’ancienne ministre des Armées, Florence Parly, avait déclaré en décembre 2020 à propos du soldat augmenté : « C’est un futur auquel il faut nous préparer. Nous disons oui à l’armure d’Iron Man et non à la mutation génétique de Spiderman. » Le gouvernement assure que chacune de ces modifications se fera avec le consentement du soldat et avec un suivi sur les risques et les bénéfices. Sera-t-il vraiment possible ? 

« Je n’aurais pas accepté »

Pour Yannick, aujourd’hui retourné dans la vie civile, ces modifications biologiques sur les corps des soldats seront difficilement applicables. Puces GPS, opérations chirurgicales… autant de modifications qui ne peuvent pas être réalisées dans le consentement du soldat, signature à l’appui. « Toucher au corps, c’est aussi toucher à l’intégrité physique et spirituelle, moi je n’aurai pas accepté », stipule-t-il fermement. Les croyances religieuses ou les principes de chaque soldat sont également une donnée à prendre en compte.

Pour Roland, l’enjeu principal est de continuer à garder le contrôle sur ces nouvelles technologies au sein de l’Armée. « Si la main de l’homme ne décide pas de l’action finale, comme abattre la cible, cela pose un énorme problème. On ne peut pas se reposer à 100 % sur ces nouvelles technologies. Comment ferions-nous en cas de coupures de courant généralisées de la part de l’ennemi ? Ou si la batterie de l’exosquelette lâche ? On a toujours besoin d’un back-up humain. »  

Des dizaines d’entreprises françaises commencent à surfer sur le business du soldat augmenté. Des sociétés voient le jour telles que RB3D, qui a créé l’un des premiers prototypes d’un exosquelette en France en 2014. Leur projet « Hercule » a été partiellement financé par l’Armée française dès 2009, il s’agit d’une carapace qui se présente comme un sac à dos avec des jambes dont on enfile les extrémités, pour décupler les forces du fantassin.

Pour l’heure, il est essayé lors des cours militaires, mais pas encore utilisé sur le terrain. Une autre société, Physip, développe un casque EEG (électroencéphalographie), qui mesure l’activité cérébrale de son porteur et en déduit son état de stress et de fatigue. Son logiciel d’interprétation est capable d’analyser les données de l’utilisateur lorsqu’il est en pleine action. Malgré ces développements, l’Armée française est frileuse d’imposer à ces soldats ces avancées, retardant ainsi sa progression en la matière face à d’autres armées (États-Unis, Chine notamment.)   

L’exosquelette Hercule // Source : rb3d
L’exosquelette Hercule // Source : rb3d

Ne pas toucher à la dignité du corps du soldat

La particularité de l’Armée française est d’être plus attentive sur les questions d’éthique et de consentement que d’autres nations. La France est le seul pays au monde à s’être doté d’un communiqué d’éthique de la Défense sur le soldat augmenté, rendu en 2020. « L’idée est de dire oui au soldat augmenté, mais de fixer des limites claires. Comme par exemple bannir tout ce qui est invasif, tels que des puces dans le cerveau ou des technologies irréversibles », précise Pierre Bourgois, maître de conférences en science politique à l’Université d’Angers et auteur de L’enjeu du soldat augmenté pour les puissances démocratiques.

Cette ligne rouge à ne pas franchir comprend le fait de ne pas toucher à la dignité du corps du soldat, chaque modification corporelle irréversible est proscrite. Ni les États-Unis, qui utilisent certaines puces GPS, ni la Chine, qui réalisent des tests de mutations génétiques sur l’ADN, ne respectent ces principes. 

« La France fait le choix de ne pas décrocher stratégiquement en restant dans la course, tout en ne dépassant pas certaines zones rouges telles que les ingénieries génétiques », précise à Numerama Pierre Bourgois. Cette course au soldat augmenté s’inscrit depuis 2010 dans un contexte de techguerre : recours à l’IA, attaque de drones, robots démineurs, hacking de masse etc. Mais tout est question de choix politiques. « La France a décidé de s’inscrire dans cette course tout en respectant des valeurs morales. Si demain, il y a une cyberguerre d’envergure mondiale, il faudra faire un choix politique plus clair », résume le maître de conférences.

Le soldat augmenté est-il un fantasme ?

Le monde asiatique est plus collectif sur ces questions, les gouvernements pensent davantage à l’augmentation du groupe, tandis que les États-Unis ont investi massivement dans les nouvelles technologies parce qu’ils sont très technophiles. Les Américains appellent cette nouvelle ère « algorithmic warfare », une période qui place la technologie au cœur de l’écosystème de la guerre de haute intensité. La France, quant à elle, tente de rattraper son retard en ayant adopté en juillet 2023 par le Parlement la loi de programmation militaire (LPM) 2024-2030, qui prévoit d’allouer 413 milliards d’euros à la « transformation des armées », dont 10 milliards à l’innovation de la défense. Notamment, l’exploitation de technologies de robotique sous-marine : drones sous-marins, robots, lutte antimines marines etc. 

Aujourd’hui, le comité d’éthique de la Défense et le ministère des Armées sont très prudents sur la question. Pour Gérard de Boisboissel, ingénieur de recherche à l’École Saint-Cyr Coëtquidan et directeur de l’observatoire « Enjeux des Nouvelles Technologies pour les Forces », le soldat augmenté fait l’objet de nombreux fantasmes dans la société civile.

« Les puces GPS, c’est niet ! »

En 2015, il dirige un programme sur le soldat augmenté. Aujourd’hui, il fait tester l’exosquelette à ses étudiants de Saint-Cyr, futurs officiers de l’Armée française. Lorsque nous évoquons la question du consentement de chaque soldat, il précise que son inquiétude repose davantage sur des nanotechnologies, souvent irréversibles sur le corps humain. « Des nanotechnologies ? On va s’en passer. Notre service de santé au sein des armées est très vigilant sur la question. Il faut penser à la restitution des corps de nos soldats après leur service », craint-il, avant de préciser que « rien ne remplacera l’entraînement physique et psychologique du soldat. Vous avez beau discuter d’augmentation, nous sommes en 2024 et en Ukraine les soldats dorment et se battent toujours dans des tranchées. » 

La plupart des soldats et militaires français sont catégoriques quant aux modifications irréversibles sur leurs corps, même si celles-ci pourraient augmenter considérablement leurs forces ou leur faire gagner une bataille. La question du retour à la vie civile est cruciale. Malgré la course au soldat augmenté, nos militaires français font preuve d’un réel esprit critique et de liberté. « Je refuse qu’on m’opère pour m’augmenter, vous savez j’ai une vision au-delà de l’Armée. Après mon service, je redeviens un citoyen normal. Donc les puces GPS, c’est niet », conclut Roland à Numerama.

Selon un rapport parlementaire, le ministère des Armées risque de tomber dans le « piège Microsoft »

Selon un rapport parlementaire, le ministère des Armées risque de tomber dans le « piège Microsoft »

https://www.opex360.com/2024/01/23/selon-un-rapport-parlementaire-le-ministere-des-armees-risque-de-tomber-dans-le-piege-microsoft/


Aussi, faute de solution française [voire européenne], le ministère des Armées s’est donc tourné vers des logiciels américains, notamment ceux fournis par Microsoft. Évidemment, cela n’est pas sans poser quelques interrogations… Surtout quand l’on sait que cette société a collaboré avec la National Security Agency [NSA, renseignement électronique américain] pour renforcer la sécurité de son système d’exploitation Windows.

Quoi qu’il en soit, en 2009, le ministère des Armées notifia à Microsoft un contrat appelé « open bar » par la presse spécialisée car il permettait de puiser dans le catalogue de l’éditeur américain les logiciels utiles contre un prix forfaitaire de 100 euros [hors taxe] par poste de travail. Et dans le cadre d’une procédure opaque puisqu’il n’y avait pas eu d’appel d’offres. Malgré les polémiques qu’il suscita, ce contrat fut reconduit en 2013 et en 2017, pour un montant estimé à 120 millions d’euros.

Cependant, en 2021, selon l’APRIL, l’une des principales associations de promotion et de défense du logiciel libre, le ministère des Armées passe désormais par l’Union des groupements d’achats publics [UGAP] pour « la fourniture de licences et l’exécution de prestations associées aux programmes en volume Microsoft AE, OV, AMO et Adobe ETLA ».

Évidemment, le ministère des Armées prend toutes les précautions possibles pour éviter tout risque d’espionnage. Sa « stratégie consiste […] à miser sur des couches de chiffrement. Certes, le système d’exploitation est édité par Microsoft et n’est donc, de ce fait, pas souverain, mais les données ne peuvent pas être lues grâce au chiffrement. Ainsi, l’architecture de sécurité qui a été pensée pour les terminaux et les centres de données du ministère limite, en cas de compromission, l’accès aux données en clair », expliquent les députés Anne Le Hénanff [Horizons] et Frédéric Mathieu [Nupes/LFI], dans un rapport sur les défis de la cyberdéfense, rédigé dans le cadre d’une « mission flash » de la commission de la Défense.

« Si des données chiffrées ont été captées, le ministère des Armées indique que cela ne sera pas grave car il ne sera pas possible […] de les lire. Microsoft n’a donc, de ce fait, pas accès [à ses] données », insistent-ils.

S’agissant des réseaux classifiés fonctionnant grâce à Microsoft Windows, la solution est encore plus simple : ils ne sont pas connectés à Internet. C’est ainsi le cas au sein du Commandement de la cyberdéfense [COMCYBER]. « L’outil de travail au ministère est le réseau Intradef, lequel est au niveau ‘diffusion restreinte’ et sur lequel rien ne transite en clair. Ainsi, si des données sont interceptées, elles seront illisibles », précisent Mme Le Hénanff et M. Mathieu.

Cela étant, le ministère des Armées utilise aussi de nombreux logiciels fournis par Microsoft.

« Pour obtenir un système informatique [SI] entièrement souverain, il faudrait également une filière souveraine pour les composants matériels et leurs logiciels [processeurs, microcontrôleurs, etc.] ainsi qu’une filière pour les applications logicielles [suite bureautique, navigateurs, etc.]. Aussi, le développement d’un système d’information entièrement souverain paraît inatteignable et d’un coût prohibitif », soulignent les rapporteurs.

« S’agissant […] de Microsoft, son rôle se limite à fournir des logiciels. Les infrastructures sur lesquelles [ceux-ci] tournent sont propriété de l’État et les tâches de configuration et d’administration sont assurées entièrement par des personnels étatiques ou des sociétés de confiance de la Base industrielle et technologique de défense. À date, il n’est pas envisagé d’apporter de changement majeur à cette doctrine », poursuivent-ils.

Seulement, cette pratique pourrait ne pas durer étant donné que Microsoft envisage de commercialiser ses logiciels « en tant que services » [« Software as a Service  » – SaaS]. En clair, les applications ne seraient plus stockés sur le disque dur d’un ordinateur mais hébergées par un serveur distant.

« Ce risque est une véritable épée de Damoclès qui pèse sur la protection des données des services de l’État mais surtout sur notre souveraineté. Cela est dû au fait que le modèle émergent consiste au seul achat de droits d’utilisation de solutions hébergées à l’étranger. D’ailleurs, Microsoft a indiqué que d’ici 2030, voire 2027, il n’y aura plus que des logiciels sous forme de SaaS », a expliqué Mme Le Hénanff, lors de l’examen du rapport en commission. « Le ministère des Armées, compte tenu de ses exigences en matière de sécurité et de souveraineté, ne peut accepter cette situation, et aujourd’hui, il est difficile d’estimer l’ampleur des risques… », a-t-elle continué.

Plus précisément, le « passage de Windows à une logique de service présente le risque d’une réduction graduelle de la capacité du ministère des Armées à exploiter en propre des réseaux basés sur des technologies Microsoft », met en garde le rapport, qui évoque un « piège Microsoft ». Aussi plaide-t-il pour « explorer » les possibilités offertes par les logiciels libres, comme Linux.

Mais, visiblement, la Direction interarmées des réseaux d’infrastructure et des systèmes d’information [DIRISI] est prudente sur ce sujet.

« Contrairement à certaines idées reçues, libre ne veut pas dire gratuit et l’utilisation […] des logiciels libres a un coût. Réduire la dépendance à Microsoft poserait des problèmes de compatibilité, aurait un coût équivalent et serait chronophage en termes de formation et de maintien en compétence des administrateurs », a en effet expliqué la DIRISI aux deux députés. « Cela demanderait surtout de disposer d’un minimum de ressources humaines internes dédiées et expertes sur un large panel de logiciels libres, ce qui semble inaccessible à court ou moyen terme compte tenu des tensions actuelles en termes de ressources humaines dans le domaine du numérique », a-t-elle ajouté.

En outre, si la décision de passer aux logiciels libres devait être prise, il n’est pas certain que « toutes les fonctionnalités actuelles du socle et des systèmes métiers puissent être préservées en l’état ». Et elle « aurait des répercussions sur la capacité du ministère à faire évoluer l’architecture de sécurité de son socle et donc à assurer la sécurité de ce dernier » et serait susceptible de retarder « les travaux nécessaires pour s’assurer de notre interopérabilité avec nos alliés et la capacité de la France à être nation cadre », avancent les rapporteurs.

À noter que, depuis une dizaine d’années, la Gendarmerie nationale a déjà fait le grand saut vers les logiciels libres, avec le développement et la généralisation de « GendBuntu », un système d’exploitation basé sur Ubuntu.

[*] Lire : « Souveraineté technologique française : Abandons et reconquête« , de Maurice Allègre, qui était à la tête de la Délégation générale à l’informatique durant cette période.